Une nouvelle spécification technique ISO aidera à répondre aux attentes en matière de protection de la confidentialité des données à caractère personnel dans le cadre de l’informatisation croissante du traitement des dossiers des patients.

Dans le secteur médical, la protection des données privées est un sujet de préoccupation constant qui va en s’intensifiant avec la progression marquée des outils et solutions qu’offrent les technologies de l’information et de la communication (TIC) pour améliorer les services de santé.

La pseudonymisation (remplacement d'un nom par un pseudonyme) est un processus par lequel les données perdent leur caractère nominatif. Elle diffère de l'anonymisation car les données restent liées à la même personne dans tous les dossiers et systèmes informatiques sans que l’identité ne soit révélée. La technique est reconnue comme une méthode importante de protection de la confidentialité des informations de santé à caractère personnel. Elle peut être opérée avec ou sans la possibilité de retour vers les noms ou identités (pseudonymisation réversible ou irréversible).

ISO/TS 25237:2008 est applicable à des établissements qui se déclarent dignes de confiance pour leurs services de pseudonymisation nationaux ou transnationaux. La spécification servira de guide général pour la mise en œuvre, ainsi qu'à des fins d'assurance qualité, et aidera l'utilisateur à déterminer la confiance qu’il peut placer dans les prestations assurées. Le domaine d'application de la norme concerne, sans s'y limiter, les secteurs suivants :

  • recherche ou autre utilisation secondaire des données cliniques;
  • essais cliniques et surveillance post-marketing;
  • surveillance et évaluation en santé publique;
  • dossiers confidentiels sur les patients (par exemple, effets indésirables d’un médicament);
  • rapports comparatifs fondés sur des indicateurs de la qualité;
  • examens par des pairs;
  • groupes de consommateurs.

ISO/TS 25237:2008 a été élaborée par le comité technique de l'ISO, ISO/TC 215, Informatique de santé. Elle fournit un modèle conceptuel des aspects en jeu, les exigences en matière de pratiques fiables, ainsi que des spécifications pour la planification et la réalisation des services de pseudonymisation. Plus précisément, elle

  • définit un concept de base pour la pseudonymisation;
  • donne une vue d'ensemble de différents cas ou l’opération de pseudonymisation sera réversible ou irréversible;
  • définit une méthodologie fondamentale pour les services de pseudonymisation, y compris au niveau des aspects organisationnels et techniques;
  • fournit un guide pour l'évaluation des risques en cas de ré-identification;
  • spécifie un cadre politique et des exigences minimales en matière de pratiques fiables pour un service de pseudonymisation;
  • spécifie un cadre politique et des exigences minimales pour la ré-identification contrôlée;
  • spécifie les interfaces pour l'interopérabilité des interfaces services.

ISO/TS 25237:2008, Informatique de santé– Pseudonymisation, est disponible auprès des instituts nationaux membres de l'ISO (voir la liste complète avec les coordonnées). Il est aussi possible de l'obtenir directement au Secrétariat central de l'ISO au prix de 158 francs suisses, par l'intermédiaire de l'ISO Store ou en contactant le Département Marketing & Communication (voir colonne de droite).